El fallo crítico, ya explotado activamente, afecta al motor V8 de JavaScript y ha sido parcheado en las últimas versiones del navegador
Google ha confirmado una nueva vulnerabilidad de tipo Zero-Day en su navegador Chrome, la cuarta en lo que va del año, y ya está siendo explotada activamente por atacantes. El fallo, identificado como CVE-2025-6554, reside en el motor V8 de JavaScript y WebAssembly, y permitiría la ejecución de código arbitrario a través de una página web especialmente diseñada.
Este tipo de vulnerabilidades, conocidas como confusión de tipo (type confusion), pueden derivar en consecuencias graves, como la ejecución silenciosa de software malicioso, instalación de spyware, descargas forzadas o bloqueos del sistema. En este caso, el error afecta a versiones de Chrome anteriores a la 138.0.7204.96, lo que deja a millones de usuarios potencialmente expuestos.
Un exploit en circulación y riesgos reales
Según el aviso de seguridad publicado por Google y la entrada correspondiente en la base de datos del NIST (CVE-2025-6554), el fallo fue descubierto por Clément Lecigne, investigador del equipo de Análisis de Amenazas (TAG) de Google, el pasado 25 de junio. Este equipo es conocido por detectar campañas de espionaje y ciberataques patrocinados por Estados.
El hecho de que el exploit ya se encuentre “en la naturaleza” sugiere que ha sido utilizado en ataques reales, posiblemente dirigidos y con un alto nivel de sofisticación, lo que levanta sospechas sobre la implicación de actores estatales o grupos de vigilancia con capacidades avanzadas.
Aunque Google no ha proporcionado detalles adicionales sobre los responsables de estos ataques, la compañía ha reaccionado con rapidez: el 26 de junio lanzó una mitigación inicial mediante un cambio en la configuración, y poco después actualizó el canal estable del navegador.
¿Qué deben hacer los usuarios?
Google recomienda a todos los usuarios de Chrome actualizar inmediatamente a las siguientes versiones, que contienen el parche de seguridad:
- Windows: 138.0.7204.96 o 138.0.7204.97
- macOS: 138.0.7204.92 o 138.0.7204.93
- Linux: 138.0.7204.96
Asimismo, usuarios de otros navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, también deben estar atentos a sus respectivas actualizaciones, ya que estas plataformas comparten el mismo motor afectado.
Cuarta Zero-Day del año en Chrome
Este nuevo fallo se suma a una preocupante lista de vulnerabilidades críticas abordadas por Google en 2025, entre ellas:
- CVE-2025-2783
- CVE-2025-4664
- CVE-2025-5419
Aunque no todos han sido explotados activamente, el patrón creciente de errores Zero-Day pone de relieve la presión que enfrenta el navegador más popular del mundo en términos de seguridad. Chrome sigue siendo un objetivo prioritario para atacantes debido a su masiva base de usuarios y su integración en múltiples sistemas y plataformas.
Recomendaciones para organizaciones
Ante el creciente uso de exploits dirigidos, expertos en ciberseguridad recomiendan:
- Desplegar actualizaciones de seguridad de forma inmediata, especialmente en organizaciones que manejan información confidencial.
- Revisar los registros de tráfico web en busca de comportamientos anómalos relacionados con navegación web o ejecución de scripts.
- Formar al personal para evitar el acceso a enlaces sospechosos o contenidos de dudosa procedencia.
Para más información técnica sobre este tipo de errores, se puede consultar la descripción detallada del fallo en el estándar CWE del MITRE: CWE-843, que clasifica las vulnerabilidades de confusión de tipo.
En un contexto global cada vez más hostil en materia de ciberseguridad, mantener el software actualizado no es solo una buena práctica: es una necesidad crítica.
